浅析《银行保险机构信息科技外包风险监管办法》
关于商业银行信息科技外包风险的思考与建议
关于商业银行信息科技外包风险的思考与建议随着信息技术的迅速发展和商业银行的数字化转型进程的加速,越来越多的商业银行选择将信息科技服务外包给专业的第三方机构。
信息科技外包对商业银行来说有诸多优势,如提高效率、降低成本、增强竞争力等。
然而,信息科技外包也存在一定的风险,商业银行需要认真对待和管理这些风险,以确保业务运营的连续性和安全性。
首先,信息科技外包存在的主要风险之一是信息泄露风险。
商业银行在外包信息科技服务的过程中,需要分享大量的敏感信息给第三方机构。
如果第三方机构不能妥善管理这些信息,就有可能导致信息泄露的风险。
为了有效管理信息泄露风险,商业银行应采取以下措施:1.选择可信赖的第三方机构:商业银行应严格筛选第三方机构,选择有良好信誉和丰富经验的供应商。
可以通过参考其他行业类似公司的选择方法,如参考其商誉、市场份额、客户评价等,以确保选择到可信赖的供应商。
2.签订合理的合同:商业银行与第三方机构需要签订详细的合同,明确双方的权利和义务,包括信息安全要求、违约责任、保密协议等条款。
合同要具有可执行性和强制性,并有明确的违约责任和追责机制。
3.建立有效的监督和审计机制:商业银行应建立监督和审计机制,对第三方机构进行定期的检查和评估。
这可以包括定期的现场检查、第三方机构的内部审计,以及独立的第三方审计等方式,确保第三方机构严格执行合同要求,并符合商业银行的信息安全标准。
其次,信息科技外包还存在系统运行风险。
商业银行依赖第三方机构提供的信息系统来支持其业务运营,如果第三方机构的系统出现故障或停机,就会对商业银行的业务运作造成严重影响。
为了有效管理系统运行风险,商业银行应采取以下措施:1.建立备份系统:商业银行应要求第三方机构建立完备的系统备份,包括备份服务器、备份数据中心等,以确保在主系统故障时能够及时切换到备份系统运行。
2.制定应急预案:商业银行与第三方机构一起制定应急预案,明确故障发生时的应对措施和责任分工。
中国银保监会发布《银行保险机构信息科技外包风险监管办法》
中国银保监会发布《银行保险机构信息科技外包风险监管办法》文章属性•【公布机关】中国银行保险监督管理委员会,中国银行保险监督管理委员会,中国银行保险监督管理委员会•【公布日期】2022.01.21•【分类】法规、规章解读正文中国银保监会发布《银行保险机构信息科技外包风险监管办法》为进一步加强银行保险机构信息科技外包风险监管,促进银行保险机构提升信息技外包风险管控能力,推动银行保险机构稳健开展数字化转型工作,中国银保监会近日印发了《银行保险机构信息科技外包风险监管办法》(以下简称《办法》)。
《办法》起草工作坚决贯彻落实中央精神,注重把握以下原则:一是坚持风险为本,在深入分析银行保险机构信息科技外包风险发展态势的基础上,提出针对性的监管要求;二是强化监管力度,在总结银行保险业信息科技监管实践经验的基础上,制定体系化的监管措施;三是对接国际标准,《办法》起草工作吸收借鉴了近年来国际组织、国外监管机构相关外包监管原则和良好实践。
《办法》共7章46条,对银行保险机构信息科技外包风险管理提出全面要求。
一是在总则中明确信息科技外包风险管理的总体要求,即银行保险机构应当建立与本机构信息科技战略目标相适应的信息科技外包管理体系,将信息科技外包风险纳入全面风险管理体系,有效控制由于外包而引发的风险。
二是在信息科技外包治理中对银行保险机构的组织和职责、外包战略、外包禁止、服务提供商管理策略、外包分类、外包分级管理、退出策略等提出明确要求。
三是对信息科技外包准入提出监管要求,包括准入前评估、尽职调查、合同等进行了规定,并对非驻场集中式外包、跨境外包、同业和关联外包提出附加要求。
四是明确信息科技外包监控评价要求,对外包过程监控、效能和质量监控、服务监控及评价、服务提供商经营监控、异常纠正、关联外包评价、外包终止做出规定。
五是规范信息科技外包风险管理,对外包风险识别与评估、业务连续性管理、信息安全管理、集中度风险管理、非驻场外包实地检查、年度风险评估和审计提出要求。
银行业金融机构信息科技外包风险防控及监管政策研究
通过外 包可 降低成本 , 提高服务效率并减 少人力资源 投入 。 第二类是与主机相关 的杨 设备维保 , 包括小型
银行业信息科技 外包是指银行 以固定 的价格在一 定 的I 服务水平基础上 , T 以合 同的方式 委托I H 务商 TE ( 以下简称服务商 ) 向银行提供所需 的部分或全部I功 T
I语 音网建设和视频会 议系统等系统外包给专业 技术 P 公司, 再如深发展外包部分外围系统 的支付系统 、 验印
系统等。
1帮助提高银行 的管理和服务效率; .
2 节约信息科 技建设 和运维成本; .
3 缓解科 技部门人员和技术力量不足的压力; .
4 快速接触最 新技术 , . 降低I技术遭淘汰的风险; T 5 加快产 品的创新和业务 的推出, . 增强银行核心 竞争力和应变能力。
类设备在 大机 构中数 量多, 分布广, 需要有专 门的公司
科技 外包作为提高信息科 技服务水平 的重要手段 , 外
包可以为银行业 金融机构带来 以下优势:
对其运行进行检测和维护以降低维护成本。 除此之外, 部分大型银行或股份制银行也将部分非核心业务系统 外包 , 如中行浙江省分行将客户关 系管理、 影像 系统 、
业 务的7 中小 机构 中, 家 除省农信 联社之 外的6 家机构 贷 记卡系统都采用外包 , 而且外包 服务商 都是银联数
据服务有 限公司。 灾备建设外 包分为两类 , 一类是灾备 建设咨询外包 , 包括省农信联社、 州银行 、 温 台州商业
银行 3 家机构 ; 另一类是灾备 中心机房外 包 , 包括 省农
遭受损 失, 由于服务不 到位影响 工作效率甚 至对银 或 行业务及声誉造成严重影响等问题。
银行业金融机构信息科技外包风险监管指引
中国银行业监督管理委员会银监发[2013]5号中国银监会关于印发银行业金融机构信息科技外包风险监管指引的通知各银监局,各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司,邮储银行,各省级农村信用联社,银监会直接监管的信托公司、企业集团财务公司、金融租赁公司:现将《银行业金融机构信息科技外包风险监管指引》印发给你们,请遵照执行。
2013年2月16日银行业金融机构信息科技外包风险监管指引第一章总则第一条为规范银行业金融机构的信息科技外包活动,降低信息科技外包风险,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规,制定本指引。
第二条在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省(自治区)农村信用社联合社适用本指引。
银监会监管的其他金融机构参照本指引执行。
第三条本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。
原则上包括以下类型:(一)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包;(二)系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包;(三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。
第四条本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。
第五条信息科技外包可能产生如下风险,并导致银行业金融机构的战略、声誉、合规风险:(一)科技能力丧失:银行业金融机构过度依赖外部资源导致失去科技控制及创新能力,影响业务创新与发展;(二)业务中断:支持业务运营的外包服务无法持续提供导致业务中断;(三)信息泄露:包含客户信息在内的银行业金融机构非公开数据被服务提供商非法获得或泄露;(四)服务水平下降:由于外包服务质量问题或内外部协作效率低下,使得银行业金融机构信息科技服务水平下降。
浅谈银行IT服务外包的风险及管控措施
浅谈银行IT服务外包的风险及管控措施IT服务外包对于银行降低IT成本、提高IT应用水平、培育和发展核心竞争力具有重要的战略意义。
在IT外包给银行带来益处的同时,银行因外包引发的风险问题、安全事件也不容忽视。
在此情况下,如何在有效控制风险的前提下使用外包就显得尤为重要。
一、IT服务外包的内涵IT服务外包是发包方以合同的形式,将IT服务委托给专业化的公司去提供,以获得高质量、低成本的服务的一种业务模式。
随着IT服务外包的发展,业界学者们针对如何界定IT服务外包、IT服务外包内涵进行了深入的探讨。
国内外众多IT服务外包研究文献对于IT服务外包的概念阐述不尽相同。
有一部分学者强调IT服务外包是一种“转让”、“转移”的过程;有的学者强调IT服务外包中的契约关系。
我们认为,没有必要纠结于必须给IT外包的范围界定一个无可挑剔的标准,我们引入外包的目的是利用外部资源,补充产能缺口、引进先进成熟的方式方法。
比如,有的银行会将购买人力来满足开发需要的活动称为外部协作,简称“外协”,事情主体并未“包”给服务商,没有用外包的定义,但从外部获得服务资源的事实存在,因而外包管理活动同样适用。
2013年2月,中国银监会发布的《银行业金融机构信息科技外包风险监管指引》中将银行IT外包定义为“银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式”。
二、IT服务外包面临的主要风险1、外包商选择风险。
对外包商进行评价与选择是外包过程中的一个重要环节,如果对外包商的选择标准及过程不完善,或者缺乏对外包商综合服务能力和水平的全面评估,可能导致银行选择不当的外包商。
2、服务质量风险。
在签订合同时,如果银行没有充分考虑外包服务过程中的各个环节,缺乏明确详细的内容,在合同执行过程中缺乏有效的监督和管理,势必导致外包服务质量下降。
3、信息泄露风险。
在外包服务过程中,银行将信息系统研发、维护等工作委托给外包商来完成,期间外包商及其员工可能会有意或无意地将银行内部信息和商业机密泄露,使银行面临着潜在的风险。
商业银行信息科技外包风险控制制度
商业银行信息科技外包风险控制制度1. 背景随着科技的进步和发展,商业银行越来越多地将信息科技服务外包给第三方机构。
然而,信息科技外包存在一定的风险,可能对银行的业务运作和客户信息安全造成威胁。
为了有效控制信息科技外包风险,商业银行需要建立相应的风险控制制度。
2. 目标商业银行信息科技外包风险控制制度的主要目标如下:- 确定信息科技外包风险的范围和级别;- 建立风险评估和管控流程;- 规定信息科技外包合作方的选择和管理标准;- 设定信息科技外包合同中应包含的风险控制条款;- 确保信息科技外包过程中的风险可控和可追溯;- 防止信息科技外包过程中的安全漏洞和数据泄露。
3. 内容商业银行信息科技外包风险控制制度应涵盖以下内容:1. 风险评估和管控流程:商业银行应建立风险评估和管控流程,包括风险辨识、风险评估、风险管控、风险监测和风险应对等环节。
2. 信息科技外包合作方选择和管理标准:商业银行应明确信息科技外包合作方的选择和管理标准,包括资质要求、安全保障、服务水平和合作关系管理等方面。
3. 风险控制条款:商业银行在与信息科技外包合作方签订合同时,应包含风险控制条款,规定双方对于风险控制的责任和义务,并明确违约责任和争议解决方式。
4. 风险可控和可追溯:商业银行应确保信息科技外包过程中的风险可控和可追溯,包括建立风险跟踪和风险报告机制,及时发现和处理风险事件。
5. 安全漏洞和数据泄露防控:商业银行应采取必要的措施防止信息科技外包过程中的安全漏洞和数据泄露,包括安全审计、访问控制、数据加密和事件响应等方面。
4. 实施和监督商业银行应将信息科技外包风险控制制度纳入日常运营管理,并设立相关的责任部门进行实施和监督。
定期进行风险评估和内部审查,及时修订和完善制度,确保风险可控。
5. 结论商业银行信息科技外包风险控制制度的建立对于保障银行业务运作和客户信息安全具有重要意义。
商业银行应根据自身情况制定相应的控制措施,并密切关注信息科技外包风险的动态变化,持续改进风险控制制度,提高防范和应对能力。
浅谈银行业信息科技外包风险及管理
浅谈银行业信息科技外包风险及管理作者:王昱元来源:《商情》2017年第05期【摘要】信息科技外包为银行业金融机构提高经营效率,提升管理和服务水平,降低科技工作的建设和运维成本,有效减少了科技人员技术力量不足所带来的压力,增强金融机构的应变能力和核心竞争力。
信息科技外包一方面为银行业创造价值,另一方面也带动了银行业金融机构风险的转移。
【关键词】银行业信息科技外包外包风险一、银行业信息科技外包银行业金融机构的信息科技外包服务以合同方式委托信息技术服务供应商提供所需的信息技术服务,银行业信息科技外包类型可以概括为以下几类说明如下:银行业信息科技外包:研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包。
系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包。
业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产设置等外包中的系统开发、运行维护和数据处理活动。
二、信息科技外包风险银行业金融机构得益于信息科技外包服务,科技水平显著提高,凭借着外包供应商优质的软硬件环境最大化了金融机构的竞争优势,在得到极大优势的同时必然要面临相应的风险。
(一)跨境外包风险金融机构购买某一国家服务供应商的信息产品、系统等相关外包服务,在合同期间该国家的经济、政治、社会事件产生了国家级别的风险,从而导致该合作供应商不能正常经营,致使对金融机构造成重大影响。
(二)集中度风险金融机构将信息科技外包服务集中交由少量服务供应商承接,在合同期间,该服务商或者其供应链上某公司出现无法正常运营的情况,导致金融机构出现集中性的服务中断、一系列的安全事件。
(三)信息安全风险首先服务供应商或者其供应链上某公司是额外增加的不可控的信息安全风险环节,其次服务供应商内部控制有出现漏洞的可能,致使金融机构遭受黑客攻击、银行客户信息和资产被窃取等事件的发生,导致包含客户信息在内的金融机构非公开数据被服务商、黑客等非法获得。
浅谈银行业信息科技外包风险及管理
浅谈银行业信息科技外包风险及管理发表时间:2018-08-13T11:29:51.117Z 来源:《基层建设》2018年第20期作者:蔡志刚[导读] 摘要:随着社会经济的快速发展,信息技术扮演着越来越重要的作用,而且银行业也对信息技术的依赖不断加深,因此银行业的安全和国家金融体系的稳定直接受到银行信息系统的安全性、稳定性和高效性的影响。
盘谷银行(中国)有限公司 200002摘要:随着社会经济的快速发展,信息技术扮演着越来越重要的作用,而且银行业也对信息技术的依赖不断加深,因此银行业的安全和国家金融体系的稳定直接受到银行信息系统的安全性、稳定性和高效性的影响。
关键词:银行信息;科技外包;风险;一、银行信息科技外包策略及现状随着经济的快速发展,我国银行近几年业务发展迅速,科技力量不足的矛盾日益突出,基于信息科技战略、外包市场环境、自身风险控制能力制定了“保持核心技术能力,适度引进外包,防控外包风险”的科技外包策略。
具体来说,在开发外包方面,坚持核心银行系统自主开发,重要系统采用合作开发模式、内部管理系统购买业内成熟产品进行客户化,在安全及运维外包方面,优先考虑国产化的外包服务,如信息安全系统首选国内产品。
网络、PC服务器及储存等设备在开发测试环境尝试使用国产化产品,逐步破解“核心技术受制于人”的难题,提高自主可控能力。
信息科技外包工作的开展,解决了银行自身信息科技人员不足的问题,使我行能够在较高的起点实施项目,从而实现信息化建设的跨越式发展提供了有力支撑。
与此同时,我们也发现在外包管理工作中,存在信息科技外包管理体系有待完善、外包风险意识需要进一步加强、外包管理相对粗放、对服务商的约束机制还不到位等问题。
二、银行业信息科技外包所面临的风险2.1 银行业务发展战略与外包服务不匹配的风险如果银行在选择外包服务商时,并没有实践的进行考察和精密的评估,而任意选择一个外包商,这会致使外包项目以及银行业务想要发展的策略出现不匹配的现象,因此,会给银行的稳定发展带来一定影响,这样的外包项目如果外包出现,银行发现了存在的风险隐患,这时如果想要终止合同,银行就必须要给服务商赔偿很多的违约金作为赔偿,要想再跟服务商建立信息科技外包服务就一定要支付比以前更多的费用,服务商有可能会考虑再次合作的事宜,因此,如果外包与银行业务发展不匹配的战略风险会给银行今后的发展带来很大的影响。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
浅析《银行保险机构信息科技外包风险监管办法》
一、前言
2021年12月30日,中国银行保险监督管理委员会(以下简称“银保监会”)印发了《银行保险机构信息科技外包风险监管办法》(银保监办发〔2021〕141号)(以下简称“《办法》”或“2021”),于公布之日起实施。
《银行业金融机构信息科技外包风险监管指引》(银监发〔2013〕5号,以下简称“《监管指引》”或“2013”)、《中国银监会办公厅关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知》(银监办发〔2014〕187号,以下简称“2014”)、《中国银监会办公厅关于开展银行业金融机构信息科技非驻场集中式外包监管评估工作的通知》(银监办发〔2014〕272号,以下同时简称“2014”)于《办法》实施之日同时废止。
《办法》的出台,将对银行保险机构及银保监会及其派出机构监管的其他金融机构的信息科技外包活动产生重大影响。
本文旨在对《办法》的重点修订内容以新旧法规对比的方式进行解读,以飨读者。
二、新旧法规对比
(一)整体结构
与《监管指引》相比,《办法》的内容结构有所调整,篇幅有精简,从信息科技外包的总体治理、外包准入环节、监控评价环节以及与信息科技外包相关的风险管控方面提出监管
(二)扩大适用范围
相较于《监管指引》,《办法》第二条明确将保险集团(控股)公司、保险公司、保险资产管理公司、金融资产管理公司纳入适用范围,并要求银保监会及其派出机构监管的其他
(三)信息科技外包的释义
《办法》中,信息科技外包的管理范围有所扩展,包括了银行保险机构与其他第三方合
(五)信息科技外包实施原则
《办法》中,实施信息科技外包的原则内容有所增加,进一步强调不得将信息科技管理责任、网络安全主体责任外包、加强重要数据与个人信息保护、强调事中监督等。
与《监管指引》相比,《办法》未明确列举可以进行信息科技外包的业务类型,而是采用负面清单的形式明确不得进行信息科技外包的范围:《办法》明确要求银行保险机构在进行信息科技外包时应将“不得将信息科技管理责任、网络安全主体责任进行外包”作为原则之一;信息科技外包治理方面,《办法》明确规定银行保险机构应当明确不能外包的信息科
技职能。
涉及信息科技战略管理、信息科技风险管理、信息科技内部审计及其他有关信息科
(六)信息科技外包组织架构与管理职责
在组织架构与职责方面,《办法》对董事会、高级管理层、信息科技外包风险主管部门、信息科技外包执行团队的职责描述进行细化扩充。
对职责有所调整:信息科技外包执行团队制定并执行信息科技外包管理制度与流程(2013),调整为信息科技外包风险主管部门制定信息科技外包风险管理策略、制度和流程,信息科技外包执行团队执行制度与流程(2021)。
强调了信息科技外包风险主管部门的统筹管理工作:信息科技外包风险主管部门对外包风险进行识别、评估与风险提示(2013),修改为:信息科技外包风险主管部门统筹信息科技外包风险的识别、评估、监测、预警、报告及处置工作(2021)。
(七)信息科技外包活动类型
《办法》要求建立信息科技外包活动分类管理机制,针对不同类型的外包活动建立相应的管理和风控策略。
在信息科技外包活动分类方面,有内容新增和细化扩展,例如将软件即
(八)信息科技外包服务提供商分级管理
根据《办法》,银行保险机构应对信息科技外包活动及相关服务提供商进行分级管理,对重要外包和一般外包采取差异化管控措施。
与《监管指引》相比,《办法》明确界定了重
(九)构建重要外包的监管体系
法规沿革中,对于重要项目的表述存在差异,从“重大外包项目”到“非驻场集中式外包”到“重要外包”(法规中枚举了重要外包的情形),范围逐渐明确和清晰,审批层级和流程有所调整。
1. 提高重要外包的内部审批层级
2. 扩大对重要外包的备选服务提供商的准入尽职调查范围,并明确非驻场重要外包的重点调查内容
与《监管指引》相比,《办法》对重要外包的备选服务商的尽职调查要求涵盖的范围更为广泛。
根据《办法》,银行保险机构应在签订合同前,对重要外包的备选服务提供商深入开展尽职调查,必要时可聘请第三方机构协助调查。
3. 关于重要外包服务提供商非驻场外包的补充调查要求·非驻场外包的释义
(十五)信息科技外包服务集中度风险管理
(十六)审计检查
三、总结
基于近几年监管实践,信息科技外包是当前银行保险机构的风险多发领域,主要表现在银行保险机构信息科技外包范围不断扩大、银行保险机构信息科技外包形式趋于多样、银行保险机构信息科技外包活动风险频发等方面。
基于这样的背景,《办法》将保险机构纳入适用范围的同时,形成银行保险业融合统一的信息科技外包监管规制,并基于原来基础进一步加强监管约束,加大监管力度。